Аннотация

Начиная с очередного обновления x.7 операционная система Astra Linux Special Edition использует вложенную структуру репозиториев пакетов. Далее в статье описывается структура репозиториев, особенности подключения репозиториев и приемы работы с мультиверсионными пакетами при использовании нескольких подключенных репозиториев. Перед прочтением статьи рекомендуется ознакомиться с общими приемами использования репозиториев: Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

Структура репозиториев Astra Linux Special Edition (очередное обновление x.7)

Схема структуры репозиториев

Особенности настройки репозиториев

Коды дистрибутивов для Astra Linux очередное обновление x.7

• 1.7_x86-64 - для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7);
• 4.7_arm - для Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7).

Компоненты дистрибутивов для Astra Linux очередное обновление x.7

• main;
• contrib;
• non-free;
• baikal1, huawei1, mtrust1  (только для основного и базового репозиториев Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)) - аппаратно-зависимые компоненты ПО;
• backports, astra-ce и другие дополнительные компоненты (только для расширенного репозитория). Подробнее про назначение, состав и применение этого компонента см. Расширенный репозиторий и "состояние совместимости с Astra Linux Common Edition".

Указание репозиториев как источников пакетов

• для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7):

  deb <путь_к_репозиторию> 1.7_x86-64 main contrib non-free

  для расширенного репозитория дополнительно могут быть указаны компоненты backports и astra-ce:

  deb <путь_к_репозиторию> 1.7_x86-64 main contrib non-free astra-ce backports

• для Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7):

  deb <путь_к_репозиторию> 4.7_arm main contrib non-free

  для расширенного репозитория дополнительно может быть указан компонент astra-ce:
  

  deb <путь_к_репозиторию> 4.7_arm main contrib non-free astra-ce

  для основного и базового репозиториев Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7) дополнительно может быть указана аппаратно-зависимая компонента, применимая к используемой аппаратной платформе:

  deb <путь_к_репозиторию> 4.7_arm main contrib non-free baikal1

  
  

Особенности использования репозиториев

См. также Интернет-репозитории Astra Linux Special Edition x.7

Основной репозиторий

Работа с репозиторием установочного диска в Astra Linux Special Edition (очередное обновление x.7) в целом не отличается от работы в Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), однако следует помнить, что:

• диск со средствами разработки, как в Astra Linux Special Edition 1.6, более не используется, а вместо него следует использовать базовый репозиторий;
• подключение расширенного репозитория может влиять на выбор  устанавливаемых пакетов.

Базовый репозиторий

Работа с базовым репозиторием Astra Linux Special Edition (очередное обновление x.7) в целом не отличается от работы в Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с подключенным репозиторием со средствами разработки, однако следует помнить, что:

• базовый репозиторий содержит все пакеты основного репозитория, поэтому при использовании базового репозитория использование основного репозитория можно исключить;
• дополнительно базовый репозиторий содержит пакеты, относящиеся к средствам разработки;
• подключение расширенного репозитория может влиять на выбор  устанавливаемых пакетов.

Расширенный репозиторий и "состояние совместимости с Astra Linux Common Edition"

Расширенный репозиторий содержит пакеты ПО (версии пакетов), не включенные в состав основного и базового репозиториев. Это ПО:

• функционирует в среде Astra Linux;
• не подвергается доработке для интеграции функций безопасности с комплексом средств защиты (КСЗ) Astra Linux Special Edition и для устранения несоответствий сертификационным требованиям;
• может быть несовместимо с пакетами, имеющимися в базовом и расширенном репозитории;
• не проходит сертификационные испытания в составе Astra Linux Special Edition;

Основное назначение расширенного репозитория - расширение функциональности, предоставляемой основным и базовым репозиториями.  При этом:

• пакеты, входящие в основной состав расширенного репозитория (компоненты репозитория contrib, main, non-free, backports):
  • не могут изменять (обновлять, удалять) пакеты, входящие в состав основного репозитория;
  • могут изменять пакеты, входящие в состав базового репозитория (но не входящие в состав основного репозитория);
• компонент backports предоставляет новейшие версии пакетов, возможно, несовместимые с какими-то пакетами в базовом и основном репозиториях;
• компонент astra-ce (и, возможно, другие дополнительные компоненты, которые могут быть добавлены по мере необходимости) предоставляют пакеты для обеспечения максимальной совместимости со сторонним ПО, разработанным либо без использования Astra Linux либо с использованием дополнительного ПО и совместимости с различными аппаратными платформами. Пакеты, входящие такие компоненты, могут заменять пакеты как из базового, так и из основного репозиториев.

Использование расширенного репозитория позволяет устанавливать и эксплуатировать ПО, разработанное для других Linux-систем, разрабатывать собственное ПО в среде разработки, соответствующей свободно распространяемым Linux-системам и переносить Astra Linux на различные аппаратные платформы . Дополнительно расширенный репозиторий может служить временным источником обновления ПО.

Можно выделить следующие основные группы пакетов ПО, входящие в состав расширенного репозитория:

• пакеты, не входящие в состав базового репозитория, т.е. дополняющее комплектацию ПО Astra Linux Special Edition (компоненты main, contrib, non-free);
• пакеты, обновляющие состав базового репозитория, т.е. более новые версии пакетов, входящих в состав базового репозитория Astra Linux Special Edition. Могут использоваться в качестве временного (не сертифицированного) решения для обновления базового репозитория между выходами оперативных обновлений. Такие пакеты:
  • если они полностью совместимы с пакетами базового и основного репозиториев и не изменяют пакеты основного репозитория, включаются в состав компонент main, conrtib, non-free;
  • если возможна несовместимость с пакетами базового и основного репозиториев, включаются в состав компоненты backports. 
• пакеты, заменяющие пакеты из состава основного репозитория. Эти пакеты заменяют аналогичные пакеты, доработанные для применения с КСЗ Astra Linux Special Edition, и предоставляются для обеспечения полной совместимости ПО. Пакеты с таким "заменяющим" ПО объединены в специальном компоненте расширенного репозитория - компоненте astra-ce. На момент написания статьи в состав компонента astra-ce входят:
  
  • СУБД PostgreSQL. Штатной СУБД для Astra Linux Special Edition является защищенное исполнение СУБД PostgreSQL  (см. РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1», п. 4.14 "Мандатное управление доступом в СУБД PostgreSQL"). Расширенным репозиторием предоставляется аналогичный пакет СУБД PostgreSQL, не содержащий встроенных средств мандатного управления доступом (на момент написания настоящей статьи - postgresql-11);
    
    
  • Электронная почтовая службы Exim4. Штатным агентом почтовой службы является защищенное исполнение агента передачи электронной почтовой службы Exim4. (см. РУСБ.10015-01 95 01-1 "Операционная система специального назначения «Astra Linux Special Edition». Руководство Администратора. Часть 1», п.14. Расширенным репозиторием предоставляется аналогичный набор пакетов Exim4, не содержащий встроенных средств мандатного управления доступом (на момент написания настоящей статьи - exim4 4.92-8+deb10u6);
    
    

  • Пакеты СУБД Mariadb. 

    Начиная с обновлений БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4) и БЮЛЛЕТЕНЬ № 2023-0727SE47 (оперативное обновление 4.7.4) полноценная версия СУБД Mariadb перенесена в базовый репозиторий.

    В более ранних обновлениях пакеты Mariadb,  входящие в базовый репозиторий Astra Linux Special Edition, добавлены только для обеспечения возможности сборки пакетов основного репозитория (обеспечения "замкнутости по сборке"), и не содержат основной части СУБД Mariadb, необходимой для эксплуатации. При этом полноценная версия СУБД Mariadb начиная с обновлений БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2) и БЮЛЛЕТЕНЬ № 2022-0926SE47 (оперативное обновление 4.7.2) находится в компоненте main расширенного репозитория, в более ранних обновлениях - в компоненте astra-ce расширенного репозитория;
    
    

  • Среда Java openjdk.
    

    Начиная с обновлений БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4) и БЮЛЛЕТЕНЬ № 2023-0727SE47 (оперативное обновление 4.7.4) полноценная версия openjdk перенесена в базовый репозиторий.

    В более ранних обновлениях соответствующие пакеты представлены в базовом репозитории только для обеспечения зависимостей, и не функциональны. Полноценная версия openjdk начиная с обновления БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2)  и БЮЛЛЕТЕНЬ № 2022-0926SE47 (оперативное обновление 4.7.2) находится в компоненте main расширенного репозитория, в более ранних обновлениях - в компоненте astra-ce расширенного репозитория;
    
    

  • Пакеты комплекта офисных программ LibreOffice. Основная часть пакетов LibreOffice входит в состав основного репозитория, но часть пакетов требует для нормальной работы Java, не входящую в основной состав Astra Linux Special Edition. Такие пакеты вынесены в расширенный репозиторий.

Помимо компонент contrib, main, non-free и astra-ce в расширенном репозитории присутствуют компоненты:

• backports — новые версии ПО, адаптированные для Astra Linux;
• gitlab — компонента для установки ПО GitLab и его зависимостей;
• experimental — экспериментальные версии ПО (стабильность работы не гарантируется);

Сценарий astra-ce для замены пакетов

Для автоматизации замены пакетов на совместимые и обратно предоставляется входящий в состав Astra Linux Special Edition сценарий astra-ce (название сценария совпадает с названием компонента расширенного репозитория, сценарий входит в состав пакета astra-scripts).  Сценарий автоматически выполняет следующие операции:

• переключение в "состояние совместимости с Astra Linux Common Edition", то есть:

  • настройку приоритетов репозиториев, обеспечивающую установку (обновление) пакетов из компонента astra-ce расширенного репозитория даже при наличии аналогичных пакетов в основном или базовом репозитории;

  • замену ранее установленных пакетов (если такие имеются), имеющих аналоги в компоненте astra-ce расширенного репозитория, на эти аналоги;
• обратные операции по отключению компонента astra-ce расширенного репозитория и обратной замене установленных пакетов на пакеты из основного или базового репозиториев.

Дополнительно сценарий astra-ce позволяет выполнить проверку текущего состояния совместимости ОС .

Подключение расширенного репозитория и переход в состояние совместимости с Astra Linux Common Edition

Предполагается, что используется Astra Linux Special Edition, исходно работающая в обычном состоянии, т.е.:

• При установке ОС был выбран любой из режимов защиты;
  
  

• В качестве источника пакетов настроен базовый репозиторий.

  Использование только основного репозитория также допустимо, однако при этом репозитории не будут замкнуты по зависимостям, т.е. некоторые пакеты из расширенного репозитория не смогут быть установлены из-за недоступности пакетов, входящих только в базовый репозиторий и не входящих в основной репозиторий.
• Используемый базовый репозиторий пакетов указан как источник пакетов в файле /etc/apt/sources.list или в файлах в каталоге /etc/apt/sources.list.d;
  
  
• Доступен, но не используется, расширенный репозиторий (доступ к расширенному репозиторию организован в форме сетевого или локального репозитория). Расположение расширенного репозитория определятся администратором системы, и используется для перехода в состояние совместимости с Astra Linux Common Edition.

Для переключения ОС в состояние совместимости с Astra Linux Common Edition:

Package: *
Pin: release c=astra-ce
Pin-Priority: 1001

1. Рекомендованный способ - автоматическое переключение. Для переключения выполнить команду astra-ce, передав ей в качестве аргумента расположение расширенного репозитория:

   sudo astra-ce <расположение_расширенного_репозитория>
   Адрес репозитория может быть представлен сетевым адресом (URL) или путем в файловой системе.
   Команда зарегистрирует указанный адрес как источник пакетов, установит высокий приоритет компоненту astra-ce, и обновит установленные пакеты с заменой на пакеты из компонента astra-ce расширенного репозитория.
   
   

2. Или:

   1. Вручную внести корректную запись о расширенном репозитории в /etc/apt/sources.list или /etc/apt/sources.list.d:

      1. для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7):

         deb <адрес_расширенного_репозитория> 1.7_x86-64 main contrib non-free astra-ce

      2. для Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7):

         deb <адрес_расширенного_репозитория> 4.7_arm main contrib non-free astra-ce

   2. Выполнить команду переключения в состояние совместимости с Astra Linux Common Edition:

      sudo astra-ce on
      Команда обнаружит имеющуюся запись о расширенном репозитории, установит повышенный приоритет компонента astra-ce и обновит установленные пакеты с заменой на пакеты из компонента astra-ce расширенного репозитория.

Обратное переключение из состояния совместимости с Astra Linux Common Edition

Для обратного перевода ОС из состояния совместимости с Astra Linux Common Edition в состояние работы со стандартными пакетами Astra Linux Special Edition выполнить команду:

Проверка текущего состояния ОС

Проверка состояния совместимости ОС выполняется командой:

CE репозиторий подключен

или сообщение:

CE репозиторий не подключен

Статус завершения вышеуказанной команды всегда ноль. Для использования в сценариях предназначен специальный ключ modechk:

• При включенном состоянии совместимости:
  • сообщение: Special;
  • код завершения: 1;
• При выключенном состоянии совместимости:
  
  • сообщение: Common;
  • код завершения 0.

Проверка доступных версий пакетов

Для поверки доступных версий пакетов можно использовать команду apt policy. На примере пакета postgresql-11:

• версия 11.12-astra.ce5 900 из расширенного репозитория. Важно: индекс "ce" в номере версии указывает, что пакет не доработан для взаимодействия с КСЗ Astra Linux и предназначен для работы в состоянии совместимости;
• версия 11.10-astra.se5 900 из базового репозитория и репозитория установочного диска. Важно: индекс "se" в номере версии указывает, что пакет доработан для взаимодействия с КСЗ Astra Linux;

При этом версия из расширенного репозитория имеет приоритет при установке.

Фиксация устанавливаемой версии пакета

Версию устанавливаемого пакета можно указать непосредственно в команде установки с помощью знака "=". Например, для установки более старой версии 11.10-astra.se5 пакета postgresql-11:

Для того, чтобы при дальнейшей установке обновлений установленный пакет не заменялся на более новые версии, следует зафиксировать версию установленного пакета с помощью команды apt-mark, например: